Эксперты по кибербезопасности обнаружили новую волну атак: с помощью давно известной уязвимости в Apache HTTP Server на серверах устанавливается криптомайнер Linuxsys.
Linuxsys
Речь идет об уязвимости CVE-2021-41773 (CVSS: 7,5) — серьезной ошибке в обработке путей в Apache HTTP Server версии 2.4.49. Она позволяет злоумышленникам запускать произвольный код на удалённом сервере.
«Хакеры используют легальные, но взломанные сайты для незаметного распространения вредоносного ПО. Такой подход помогает обходить системы защиты», — отмечают эксперты VulnCheck.
Один из стартовых эпизодов этой кампании, зафиксированный в этом месяце, шёл с IP-адреса из Индонезии (103.193.177[.]152). В рамках атаки используется загрузка дополнительного вредоносного файла с домена "repositorylinux[.]org" через curl или wget.
Затем посредством специального скрипта запускался процесс установки самого майнера Linuxsys c пяти различных — хоть и взломанных, но официальных сайтов. Всё это говорит о том, что хакеры захватили сторонние ресурсы и теперь используют их для широкого распространения своей программы.
«Метод очень хитрый: пользователь подключается к подлинным сайтам с настоящими SSL-сертификатами — это сильно усложняет обнаружение», — комментируют эксперты VulnCheck. «А, поскольку сам майнер на “repositorylinux[.]org” не хранится, отследить заражение становится ещё труднее».
На этих же взломанных сайтах обнаружили скрипт "cron.sh" — он автоматически перезапускает майнер после каждой перезагрузки системы. Аналитики также нашли две вредоносные программы для Windows — вероятно, жертвами стали и компьютеры на базе Microsoft.
Похожая схема заражения майнером Linuxsys ранее встречалась при атаках через уязвимости в OSGeo GeoServer GeoTools (CVE-2024-36401, CVSS: 9,8) — об этом заявляли в сентябре 2024 года.
Любопытный факт: один из скриптов, использовавшихся после взлома, хранился на "repositorylinux[.]com", а его комментарии были написаны на сунданском языке, распространённом в Индонезии. Такие вредоносные инструменты отслеживаются с декабря 2021 года.
В последние годы подобные вредоносы распространяются и через другие критические уязвимости:
- CVE-2023-22527 — инъекция вредоносных шаблонов в Atlassian Confluence Data Center и Confluence Server
- CVE-2023-34960 — удалённое выполнение команд в Chamilo Learning Management Systems (LMS)
- CVE-2023-38646 — похожая уязвимость в Metabase
- CVE-2024-0012 и CVE-2024-9474 — обход аутентификации и повышение привилегий в фаерволах Palo Alto Networks
«Всё указывает на опытных киберпреступников, которые годами оттачивают свой подход: они эксплуатируют “свежие” дыры, заражают взломанные ресурсы и размещают на них свои майнеры», — подчеркивают в VulnCheck.
«Главный секрет их успеха — точечный выбор жертв: хакеры избегают ловушек (honeypots), заходят только на реально работающие системы и используют легитимные сайты для доставки вредоноса. Благодаря этому им почти не удаётся привлечь к себе внимание».
Взлом Exchange: закладка GhostContainer наносит удар по госорганам Азии!
Одновременно выяснилось, что правительственные организации в ряде азиатских стран подвергаются атакам с помощью уникальной закладки GhostContainer. Хакеры воспользовались одной из серьезных уязвимостей Microsoft Exchange Server (скорее всего, CVE-2020-0688, CVSS: 8,8), которая позволяет запускать вредоносный код удалённо.
GhostContainer
Эксперты называют этот «бэкдор» универсальным и гибким инструментом: его возможности можно расширять, подключая дополнительные модули по мере необходимости. В результате злоумышленники полностью контролируют заражённый Exchange-сервер и могут делать с ним всё, что угодно.
GhostContainer поддерживает выполнение shell-кода, загрузку и удаление файлов, выполнение любых команд, подключение NET-модулей, а также оснащён прокси и туннелированием для скрытия трафика.
Считается, что хакеры целятся в крупные компании, технологические предприятия и государственные учреждения Азии — то есть работают по классической схеме APT-групп (Advanced Persistent Threat).
О самих преступниках пока почти ничего не известно, однако их высокий уровень мастерства — вне обсуждений: они блестяще разбираются в Exchange и легко превращают открытые инструменты в мощные шпионские комплексы.
«Главная особенность GhostContainer — отсутствие видимых связей с управляющими серверами. Все команды незримо интегрируются в обычные веб-запросы к Exchange, и злоумышленники спокойно работают с заражённым сервером через интернет», — объясняют аналитики Kaspersky.
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru